応用情報技術者 2012年 秋期 午後 問12
個人情報保護監査に関する次の記述を読んで、設問1~3に答えよ。
家具・日用品を販売しているE社は、以前から行っていた通信販売事業を拡大するために、2年前にインターネット通信販売を開始し、その担当部門を、ネット事業部として、通信販売事業部から独立させた。同時に、インターネット通信販売用にネット通販システムを構築した。
E社では、以前から個人情報保護の推進に取り組んでいる。JIS Q 15001に準拠した個人情報保護規程(以下、規程という)を策定しており、1年後を目標に、プライバシーマークの取得の準備を進めている。
E社は、規程に基づいて、年に一度、個人情報保護に関する内部監査を行っており、今年は安全管理措置の実施状況を中心に監査を行う予定である。ネット事業部の監査については、内部監査部のF君が監査主任を担当することになった。
〔ネット事業部の業務内容〕
ネット事業部では10名の社員が、会員管理とマーケティングの担当に分かれて、それぞれの業務を行っている。
(1) 会員管理業務
個人情報に関する問合せや訂正・削除の依頼などに応じて会員情報を管理する業務と、定型的な商品広告メールを定期的に送付するなどの会員サービス業務を行っている。
(2) マーケティング業務
売れ筋商品の受注状況を分析し、キャンペーンなどの企画に反映させる業務を行っている。また、その分析結果を用いて、商品のアピール方法にきめ細かい工夫をしたメールマガジンの発行を試行している。
〔ネット通販システムの概要〕
ネット通販システムの概要は、次のとおりである。
(1) 会員管理
氏名、住所、電話番号、メールアドレスなどを保有する会員データベース(以下、会員DB という)に対する、会員自身によるインターネット経由での入会・退会・
照会・更新の機能、及び、E社社内の端末からの照会・更新・削除の機能をもつ。
E社では、会員の個人情報の利用目的を、商品の送付と、受注・送付の連絡に限定する旨、個人情報保護方針で公表している。商品広告メールの送付は、①商品情報を提供するメールの送付に同意した会員に限定している。
(2) 受注処理
会員が注文を入力すると、ショッピングカートの注文内容を受注管理データベース(以下、受注管理DBという)に格納するとともに、会員DBを参照し、商品の送付先、支払方法などを確定する。受注データを後続の処理へ引き渡すとともに、受注が確定した旨のメールを注文した会員宛てに送付する。
(3) マーケティング用ファイル作成
受注管理DBと会員DBから、マーケティング業務で使用する受注分析ファイルとメールマガジン送付用ファイルを作成する。
受注分析ファイルは、注文ごとの商品情報と、注文した会員が登録した年齢層、性別、家族構成などの会員属性をもつ。会員個人が特定されないように、会員番号などはもたせていない。会員属性は商品の購買傾向との関連性の分析に使用される。
メールマガジン送付用ファイルは、商品情報を提供するメールの送付に同意した会員のデータだけを含むファイルで、会員の氏名、メールアドレス、及び会員属性をもっている。また、メールマガジン送付用ファイルは個人情報の管理対象データに指定されており、マーケティング担当者全員のユーザIDにアクセス権が付与されている。
〔監査の実施〕
F君は、ネット事業部の安全管理措置の実施状況を確かめるために、視察とヒアリングを開始した。
F君は、視察の際、別の部屋での会議に出席していたマーケティング担当のGさんのPCが、会員の氏名とメールアドレスの一覧が画面に表示されたままになっていて、データの複写や印刷ができる状態になっていることを発見した。Gさんにヒアリングしたところ、スクリーンセーバはネット事業部の情報セキュリティマニュアルどおり、5分以内に起動する設定にしてあるので問題ないと思う、とのことであった。
規程では、PCで個人情報を取り扱っている途中で離席する場合は、必ず、パスワードドで保護された“コンピュータのロック”の状態にすることになっている。
F君は、GさんのPCの状況は、Gさん以外の人による不正な操作や、画面に表示された情報をのぞき見する行為などによって、個人情報が痛えいするリスクにつながると考え、今回の状況を②指摘事項にすべきと判断した。
次に、F君は、メールマガジン送付用ファイルのアクセス権リストを管理者から入手した。アクセス権が付与されたユーザIDと、マーケティング担当者の名簿を突き合わせたところ、1か月前にネット事業部から営業部へ転出し、個人情報を取り扱わなくなった社員のユーザIDにアクセス権が付与されたままになっていることが判明した。管理者にヒアリングした結果、ネット事業部の情報セキュリティマニュアルには、転出者の不要なアクセス権を削除せよと記されているので、半年ごとにまとめて実施しており、来月末に削除する予定である、とのことであった。
〔改善勧告〕
F君は、監査報告書に、転出した社員に対する、メールマガジン送付用ファイルのアクセス権管理の不備を指摘事項として挙げた。そして、ネット事業部の情報セキュリティマニュアルの、社員が転出する際の手続に③明記すべき具体的な記述の追加、及び、④その追加した記述どおりに実行されなかった場合に、それを検出できる対策の実施を、安全管理措置に関する改善勧告として挙げた。
設問1:
〔ネット通販システムの概要〕において、E社が商品広告メールの送付先を、本文中の下線①に限定する理由は何か。個人情報保護法に基づいて、30字以内で述べよ。
模範解答
個人情報の目的外利用には、本人の同意が必要だから
解説
解答の論理構成
-
利用目的の宣言
問題文には「E社では、会員の個人情報の利用目的を、商品の送付と、受注・送付の連絡に限定する旨、個人情報保護方針で公表している。」とあります。
つまり、広告メールの送付は最初に公表した利用目的に含まれていません。 -
目的外利用に該当
そこで「商品広告メールの送付」は、本来の「商品の送付」「受注・送付の連絡」以外の行為=目的外利用になります。 -
本人同意の必要性
個人情報保護法では、目的外に個人情報を利用する場合は「本人の同意」が必要と定められています(法第十八条:利用目的による制限)。 -
同意取得の実践
問題文は「①商品情報を提供するメールの送付に同意した会員に限定している」と明記しています。これは、法の要件を満たすために同意を得た会員だけに広告メールを送る運用です。 -
したがって
「目的外利用には本人の同意が必要」という法令対応が、送付先を①に限定する直接の理由になります。
誤りやすいポイント
- 「同一企業内の利用だから同意は不要」と思い込み、目的外利用の規制を失念する。
- 目的外利用と「第三者提供」を混同し、第三者提供の規定(法第二十三条)ばかりを参照してしまう。
- 取得時に利用目的を十分に広げておけばよいと考え、同意取得の必要性そのものを軽視する。
FAQ
Q: 受注確認メールと広告メールはどちらもメールですが、扱いが違うのですか?
A: はい。受注確認メールは公表済みの「受注・送付の連絡」に該当しますが、広告メールは別目的になるため目的外利用となります。
A: はい。受注確認メールは公表済みの「受注・送付の連絡」に該当しますが、広告メールは別目的になるため目的外利用となります。
Q: 利用目的に「顧客サービスの提供」を含めれば広告メールに同意は不要ですか?
A: 「顧客サービス」が抽象的すぎると監督官庁のガイドラインで問題視される可能性があります。広告メール送信を明確に示すか、本人同意を取得するのが安全です。
A: 「顧客サービス」が抽象的すぎると監督官庁のガイドラインで問題視される可能性があります。広告メール送信を明確に示すか、本人同意を取得するのが安全です。
Q: 同意を得た後、広告メールの配信停止を希望されたらどうなりますか?
A: 個人情報保護法は利用停止請求権を定めています。配信停止(オプトアウト)を即時反映できる体制が必要です。
A: 個人情報保護法は利用停止請求権を定めています。配信停止(オプトアウト)を即時反映できる体制が必要です。
関連キーワード: 個人情報保護法、利用目的、目的外利用、本人同意、オプトイン
設問2:
〔監査の実施〕において、本文中の下線②の判断をする前に、F君が追加して実施すべきであった監査手続は何か。35字以内で述べよ。
模範解答
他のマーケティング担当者に、規程の遵守状況をヒアリングする。
解説
解答の論理構成
- 監査の評価基準を確認
【問題文】では「規程では、PCで個人情報を取り扱っている途中で離席する場合は、必ず、パスワードドで保護された“コンピュータのロック”の状態にすることになっている。」と明示されています。 - 個別事象の発見
視察で「会員の氏名とメールアドレスの一覧」が表示されたままの PC を発見し、これは規程違反の疑いがあります。 - 体系的な問題か単発かを判断するための追加証拠収集
内部監査では、単一の違反をもって直ちに「②指摘事項」にする前に、同様の状況が他の担当者にも発生していないかを確認し、統制の有効性を評価する必要があります。 - 最適な監査手続
よって「他のマーケティング担当者に、規程の遵守状況をヒアリングする。」ことが、追加で実施すべき監査手続となります。
誤りやすいポイント
- スクリーンセーバ設定(「5分以内に起動」)の確認だけで十分と判断しがちですが、規程は「コンピュータのロック」を要求しており評価軸が異なります。
- G さん個人への注意だけで終わらせてしまい、全体の統制不備の可能性を見落とすことがあります。
- 「証跡取得」=「ログ確認」と短絡しがちですが、今回の統制は運用手続であり、利用者インタビューが最も適切です。
FAQ
Q: ログを調べれば画面放置の有無が分かるのでは?
A: 画面放置はログに直接残らないため、運用実態を把握するにはヒアリングや再度の視察が効果的です。
A: 画面放置はログに直接残らないため、運用実態を把握するにはヒアリングや再度の視察が効果的です。
Q: 1 件でも違反があればすぐに指摘してはいけないのですか?
A: 指摘自体は可能ですが、監査報告書に記載する前に横展開の有無を確認することで、是正措置をより的確に提案できます。
A: 指摘自体は可能ですが、監査報告書に記載する前に横展開の有無を確認することで、是正措置をより的確に提案できます。
Q: 画面ロック義務を知らない社員がいた場合、教育不足の指摘も必要ですか?
A: はい。統制が文書化されていても周知されていなければ内部統制が機能していないと評価され、教育・訓練計画の改善が必要となります。
A: はい。統制が文書化されていても周知されていなければ内部統制が機能していないと評価され、教育・訓練計画の改善が必要となります。
関連キーワード: 内部監査、ヒアリング、コンプライアンス、安全管理措置
設問3:〔改善勧告〕について、(1)、(2)に答えよ。
(1)本文中の下線③の記述とはどのような内容か。30字以内で述べよ。
模範解答
転出者のアクセス権を、不要になった時点で削除する。
解説
解答の論理構成
- 監査で判明した事実
引用:「ネット事業部から営業部へ転出し、個人情報を取り扱わなくなった社員のユーザIDにアクセス権が付与されたままになっている」
すでに業務上の必要性がなくなったユーザIDが、依然として「メールマガジン送付用ファイル」にアクセスできる状態です。 - 情報セキュリティマニュアルの運用
引用:「半年ごとにまとめて実施しており、来月末に削除する予定」
削除作業を定期バッチ的に行っているため、“転出した瞬間”から“次回の削除実行”までの間は不必要な権限が残存します。 - 改善勧告の趣旨
引用:「社員が転出する際の手続に③明記すべき具体的な記述の追加」
半年待たず、転出が起きた時点ですぐに権限を見直す手続きを“明文化”せよという要求です。 - したがって、③の内容は
「転出者のアクセス権を業務不要になった瞬間に削除する」という具体的行為の明記であるため、解答は
「転出者のアクセス権を、不要になった時点で削除する。」
となります。
誤りやすいポイント
- 「半年ごと」のサイクルを維持しつつ“チェックを強化する”と解釈する誤答
→ 監査人の指摘はサイクル自体の問題。即時削除を求めている。 - 「退職者」と混同し「退職時に削除」と書いてしまう誤答
→ 問題は「転出」=異動であり、所属変更直後にも適用すべき。 - 「アクセス権の見直しを行う」とだけ書いて削除を明言しない誤答
→ 具体的記述として“削除”まで入れる必要がある。
FAQ
Q: 権限を「無効化」でも良いですか?
A: 問題文では「削除」が明確に要求されているので、「無効化」だけでは不十分です。
A: 問題文では「削除」が明確に要求されているので、「無効化」だけでは不十分です。
Q: 「転出日をもって削除」と書けば正解になりますか?
A: 転出と同時、つまり「不要になった時点で削除」を意味していれば同義とみなされます。
A: 転出と同時、つまり「不要になった時点で削除」を意味していれば同義とみなされます。
Q: 半年ごとの点検を残して即時削除も追加する形は可ですか?
A: 即時削除を主たる手続として明記し、定期点検は補完的に残すなら問題ありません。監査人の意図は“残存期間ゼロ”を保証することです。
A: 即時削除を主たる手続として明記し、定期点検は補完的に残すなら問題ありません。監査人の意図は“残存期間ゼロ”を保証することです。
関連キーワード: アクセス権管理、権限削除、退職・異動、内部監査、セキュリティマニュアル
設問3:〔改善勧告〕について、(1)、(2)に答えよ。
(2)本文中の下線④の対策とは具体的にどのような内容か。30字以内で述べよ。
模範解答
アクセス権が付与されたユーザIDの定期的な点検
解説
解答の論理構成
-
監査で判明した事実
- 「1か月前にネット事業部から営業部へ転出し、個人情報を取り扱わなくなった社員のユーザIDにアクセス権が付与されたままになっている」
- 「半年ごとにまとめて実施しており、来月末に削除する予定」
これらの引用から、転出時点では不要となるアクセス権が即時に廃止されず、放置されるリスクがあると分かります。
-
改善勧告で求められた内容
- 「④その追加した記述どおりに実行されなかった場合に、それを検出できる対策」
追加した手続き(転出時に権限を削除する)が守られないことを“検出”するためには、定期的に現状を確認し、不要権限が残っていないかを照合する仕組みが必要です。
- 「④その追加した記述どおりに実行されなかった場合に、それを検出できる対策」
-
適切な対策の導出
- 検出のキーワードは「現状確認」→アクセス権リストと所属情報の突合。
- 「定期的」に行うことで、手続き漏れを早期に発見できます。
したがって、対策を30字以内で表すと「アクセス権が付与されたユーザIDの定期的な点検」となります。
誤りやすいポイント
- 「点検」ではなく「削除」と書くと、“検出”ではなく“実施”の対策になり設問意図から外れます。
- ログ監視・監査証跡保存など高度な仕組みを解答に入れ込むと、過剰で焦点がぼける恐れがあります。
- 「半年ごと」や「翌月末」など問題文の具体的スケジュールをそのまま転用すると、改善策としての汎用性が欠けます。
FAQ
Q: どうして「定期的な点検」で良いのですか?
A: 転出の都度削除手続きが義務づけられていても、人為ミスで漏れる可能性があります。漏れを“検出”する目的には、定期的にユーザIDと所属を突合し不要権限を洗い出す点検が最もシンプルで効果的です。
A: 転出の都度削除手続きが義務づけられていても、人為ミスで漏れる可能性があります。漏れを“検出”する目的には、定期的にユーザIDと所属を突合し不要権限を洗い出す点検が最もシンプルで効果的です。
Q: 点検の頻度は明示しなくて良いのでしょうか?
A: 設問は「具体的な記述どおりに実行されなかった場合に検出できる対策」を求めています。検出方法として“定期的点検”を示せば十分で、詳細頻度はマニュアル側で定義される想定です。
A: 設問は「具体的な記述どおりに実行されなかった場合に検出できる対策」を求めています。検出方法として“定期的点検”を示せば十分で、詳細頻度はマニュアル側で定義される想定です。
Q: ロックの徹底やスクリーンセーバ設定も対策に含めるべき?
A: それらは別の指摘事項(②)に対応する安全管理措置であり、④はアクセス権管理の検出策に限定されています。
A: それらは別の指摘事項(②)に対応する安全管理措置であり、④はアクセス権管理の検出策に限定されています。
関連キーワード: アクセス権管理、権限棚卸し、内部統制、ログ監査、セキュリティポリシー
